Google Analytics et RGPD : comprendre l’affaire + est-ce que cela rend votre site illégal ?

rgpd google analytics

Cet article sera régulièrement mis à jour. Dernière mise à jour : 09/06/2022

Google Analytics navigue en eaux troubles. ?

La “CNIL” Autrichienne vient de placer une cible sur Google Analytics : La version actuelle de Google Analytics ne convient pas à l’autorité autrichienne de la protection des données, qui la juge non conforme au RGPD.

Edit : La CNIL française vient de prendre une décision similaire (10/02/2022) en estimant que les transferts de données collectées vers les Etats-Unis sont illégaux.

C’est une décision lourde de conséquence pour au moins 3 raisons :

  1. Google Analytics domine le marché : une majorité (63%) des sites web utilise Google Analytics pour analyser son trafic
  2. Cette « interdiction » en Autriche peut s’étendre en France (edit : oui) : Des décisions similaires peuvent être prises par les autres pays européens sur la base de l’arrêt « Schrems 2 » de la Cour de Justice de l’Union Européenne.
  3. Le risque c’est un effet domino : Les entreprises pourraient ne plus utiliser les services qui transfèrent des données aux USA.

Tous concernés ?

« 94 % des sites Web comprennent au moins un élément de contenu tiers et (…) 63 % d’entre eux utilisent tous la même chose : Google Analytics. »

(certaines sources parlent même de 80% d’usage de Google Analytics)

La décision autrichienne et celle de l’EDBP compromet l’utilisation d’outils qui nécessitent le transfert des données personnelles des Européens vers les États-Unis pour y être traitées.

Si la décision venait à se propager au reste de l’Europe elle pourrait avoir de graves répercussions sur les services de cloud américains utilisés en Europe. 

Quels outils américains utilisez-vous ? Stripe ? Dropbox ? Mailchimp ? Google Drive ? etc

Ce n’est pas la première fois que GA fait couler de l’encre : Depuis 2021, La configuration par défaut du produit pose déjà un certain nombre de restrictions par rapport au consentement et à la collecte de données personnelles des visiteurs.

Je cherche à retracer les péripéties autour de la mauvaise réputation de GA sur la protection des données personnelles.

Implémente le Privacy by Design dans ton SaaS

Notre programme clé en main pour intégrer le Privacy by Design et le RGPD dans tes sprints.
Pas à pas, tu deviendras conforme sans stress.

Les questions que posent cette affaire :

  1. Pourquoi Google Analytics est-il pointé du doigt aujourd’hui ?
  2. Est-ce que l’utilisation de Google Analytics en France viole le RGPD ?
  3. Est-ce que je peux paramétrer différemment Google Analytics ?
  4. Si je ne peux plus utiliser Google Analytics, quelles sont les alternatives ?
  5. Est-ce qu’il y a des risques similaires sur d’autres outils étrangers ?

Merci à Philippe Labare et à Diane Pelletrat de Borde pour leur aide sur cet article.

Disclaimer : Cette recherche est en l’état des publications du moment et la situation est à suivre dans les prochains mois. Il n’y a pas de conseil juridique dans cet article.

décryptage google analytics vs rgpd

Historique de l’affaire Google Analytics (Revue de Presse complète)

Décembre 2020 – La CNIL retire Google Analytics des règles d’exemption de consentement

Pour faire court : les logiciels de mesure d’audience n’ont pas besoin de demander le consentement aux utilisateurs (c’est l’exemption).

C’est crucial, car c’est un moyen d’avoir des statistiques exhaustives :

Si vous avez besoin d’avoir l’accord systématique des visiteurs, beaucoup risquent de ne pas cliquer.

La CNIL précise ses règles à partir de 2020 (délai raisonnable d’application à partir du 31/03/2021)

Afin de se limiter à ce qui est strictement nécessaire à la fourniture du service et être ainsi exemptés de consentement conformément à l’article 82 de la loi Informatique et Libertés, ces traceurs doivent :

– avoir une finalité strictement limitée à la seule mesure de l’audience du site ou de l’application (mesure des performances, détection de problèmes de navigation, optimisation des performances techniques ou de son ergonomie, estimation de la puissance des serveurs nécessaires, analyse des contenus consulté), pour le compte exclusif de l’éditeur.
– servir à produire des données statistiques anonymes uniquement.


À l’inverse, pour être exemptés de consentement, ces traceurs ne doivent pas :

conduire à un recoupement des données avec d’autres traitements ou à ce que les données soient transmises à des tiers ;
ne pas permettre le suivi global de la navigation de la personne utilisant différentes applications ou naviguant sur différents sites web. Toute solution utilisant un même identifiant à travers plusieurs sites (via par exemple des cookies déposés sur un domaine tiers chargé par plusieurs sites) pour croiser, dédoubler ou mesurer un taux de couverture (« reach ») unifié d’un contenu est exclue.

CNIL Dans quels cas les cookies sont-ils exemptés de consentement ?

Google introduit fin 2020 le Consent Mode, avec pour objectif de garantir la collecte de données importantes même si vos utilisateurs n’ont pas donné leur consentement aux cookies.

Cet article présente en détail le fonctionnement et l’implémentation du Consent Mode. L’impact concerne à la fois Google Ads et Google Analytics.

C’est finalement une possibilité pour l’éditeur du site de demander à Google de limiter le tracking et de ne pas déposer de cookies traceur.

En revanche, la mise en place est complexe et cela ne règle pas tous les problèmes.

2021 : L’impact se fait ressentir sur les sites

Certaines études en terme d’acceptation des cookies montrent une baisse estimée de 20 à 40% du trafic mesuré par Google Analytics.

10/2021 FAQ sur le consentement

Webrankinfo publie une FAQ sur le consentement après avoir interrogé différentes plateformes de consentement

01/2022 : L’Autriche estime que l’utilisation de Google Analytics viole le RGPD.

Siècle Digital : L’Autriche estime que l’utilisation de Google Analytics viole le RGPD

NOYB : Austrian DSB: Use of Google Analytics violates « Schrems II » decision by CJEU.

RGPD 1 / Google analytics 0 : le match qui s’engage en Europe sera-t-il vraiment à l’avantage des consommateurs que les régulateurs entendent protéger ?

Pour bien comprendre, il faut revenir sur l’invalidation du Privacy Shield par l’arrêt « SCHREMS 2 » en juillet 2020

14/01/2022 – Google plaide non coupable

Google publie une plaidoirie pour défendre la conformité de son outil d’analyse :

Google Analytics et RGPD : Google plaide non-coupable et rejette la faute sur ses utilisateurs

Some facts about Google Analytics data privacy

01/2022 : EDPB pointe les outils Google et Stripe

En parallèle, quelques jours plus tôt : l’EDPB (la « CNIL » des institutions de l’UE) a pointé pour les mêmes motifs l’illégalité des outils Google et Stripe utilisés par la Commission.

EDPS sanctions the European Parliament for illegal EU-US data transfers – among other violations

19/01/2022 – Revoir les règles de transfert entre l’UE et les USA ?

Google appelle à rapidement mettre en place un nouvel accord de transfert de données entre l’Union européenne et les Etats-Unis

It’s time for a new EU-US data transfer framework (Google)

Fin Janvier 2022 – la question que tout le monde se pose : Les pays européens vont-ils tous interdire Google Analytics ? (et par extension d’autres outils cloud qui envoient les données aux USA)

Les pays européens vont-ils tous interdire Google Analytics ?

D’autres jugements similaires à celui des autorités autrichiennes devraient suivre, l’association Noyb ayant également déposé 100 autres dossiers auprès d’autres autorités de protection des données en Europe (…) ces actions ne ciblent pas seulement Google Analytics mais les pratiques d’externalisation vers des fournisseurs américains en général.

Quelle est la position de la CNIL ?

29/01/2021 – La CNIL est saisie par des sociétés de e-santé

La CNIL est saisie par des sociétés de e-santé (Recare, Alan, KelDoc, Maiia…) sur l’usage de Google Analytics.

07/02/2022 – Facebook et Instagram pourraient être fermés en Europe

Le débat prends de l’ampleur et s’étends à d’autres entreprises américaines pour les mêmes raisons. Coup de bluff ?

La Commission Européene confirme que la mise en place d’un nouvel arrangement entre les USA et l’Europe pour le transfert des données est une priorité.

10/02/2022 – La CNIL met en demeure un gestionnaire de site pour son utilisation de Google Analytics

La CNIL constate que les données des internautes sont ainsi transférées vers les États-Unis en violation des articles 44 et suivants du RGPD. Elle met donc en demeure le gestionnaire de site de mettre en conformité ces traitements avec le RGPD, si nécessaire en cessant d’avoir recours à la fonctionnalité Google Analytics (dans les conditions actuelles) ou en ayant recours à un outil n’entraînant pas de transfert hors UE. Le gestionnaire de site en cause dispose d’un délai d’un mois pour se mettre en conformité.

Communiqué de la CNIL

Google Analytics et RGPD : l’utiliser est-il vraiment illégal ?

Mars 2022

Juin 2022

La CNIL viens de publier une liste de Questions-réponses sur les mises en demeure concernant l’utilisation de Google Analytics, c’est une ressource essentielle pour mieux comprendre.

cnil google analytics
Source : CNIL.fr

A Suivre…

Pourquoi Google Analytics pose problème ?

Le 1er problème : le transfert de données personnelles entre l’UE et les Etats-Unis

L’arrêt « Schrems 2 » de la Cour de Justice de l’Union Européenne (CJUE) considère que la législation américaine ne protège pas suffisamment les données personnelles des européens et interdit le transfert de données personnelles vers les USA. (C’est depuis Juillet 2020).

« The bottom line is that companies can’t use US cloud services in Europe anymore. It has now been 1.5 years since the Court of Justice confirmed this a second time, so it is more than time that the law is also enforced. »

Max Schrems on the Austrian DPA ruling banning Google Analytics

“Aujourd’hui c’est Google Analytics, mais demain ? C’est toute la tech US qui est concernée. »

Philippe Labare
RGPD : la vraie menace est la suspension des transferts de données hors UE, pas les amendes

Le second problème : Le renforcement des règles de consentement rendent l’outils moins précis

Nous avons vu plus haut que Google Analytics nécessite un consentement de l’internaute pour pouvoir collecter des données.

Une proportion d’internaute « refuse » ou ne réponds pas à la demande de dépôt du cookie. Ce qui conduit à perdre selon certaines sources entre 20 et 40% des statistiques.

Pour palier à cela Google propose un « consent mode » mais c’est complexe à paramétrer (et cela ne résout pas le problème de transfert de données personnelles aux USA)

Dans l’attente, est-il possible de mieux paramétrer Google Analytics ?

C’est nécessaire de paramétrer Google Analytics pour le premier sujet (consentement). Et d’avoir un outil de consentement sur son site (CMP)

Voici la méthode : Take control of how data is used in Google Analytics

  • Décidez si vous devez accepter les conditions de traitement des données.
  • Anonymiser les adresses IP de votre propriété Web.
  • Désactiver une partie ou la totalité de la collecte de données.
  • Définir la durée de conservation des données
  • Sélectionnez les données que vous partagez avec votre équipe d’assistance et Google.
  • Découpler la personnalisation des annonces
  • Exercer un éventuel retrait de données sur Google Analytics

Pour le second sujet (transfert de données aux USA), il va falloir un nouveau cadre légal. C’est ce que confirme le communiqué de la CNIL du 10/02/2022 :

La CNIL conclut que les transferts vers les États-Unis ne sont pas suffisamment encadrés à l’heure actuelle. En effet, en l’absence de décision d’adéquation (qui établirait que ce pays offre un niveau de protection des données suffisant au regard du RGPD) concernant les transferts vers les États-Unis, le transfert de données ne peut avoir lieu que si des garanties appropriées sont prévues pour ce flux notamment.

CNIL

Est-ce qu’il existe des alternatives à Google Analytics ?

Il existe un certain nombre d’autres produits, je vous copie-colle telle quelle la liste de qualification de la CNIL :

Analytics Suite Delta de AT Internet dans sa version disponible à la date du 30 mars 2021

SmartProfile de Net Solution Partner dans sa version 21

Wysistat Business de Wysistat dans sa version 12.1

Piwik PRO Analytics Suite de Piwik PRO dans sa version 15.2.0

Abla Analytics de Astra Porta dans sa version 1.9

BEYABLE Analytics de BEYABLE dans sa version 1.0

etracker Analytics (Basic, Pro, Entreprise) de etracker dans sa version disponible à la date du 4 août 2021

Retency Web Audience de Retency dans sa version 1.0

Nonli de Nonli dans sa version 2.0

CS Digital de Contentsquare dans sa version 10

Matomo Analytics de Matomo dans sa version 4

Wizaly de Wizaly SAS dans sa version 12

Compass de Marfeel Solutions dans sa version 1.0

Statshop de Web2Roi dans sa version 1.8